Операторы банковского трояна Toddler атаковали клиентов 60 банков по всей Европе
19/07/21
Команда исследователей в области кибербезопасности PRODAFT Threat Intelligence (PTI) рассказала о банковском трояне Toddler (также известном как TeaBot/Anatsa) для мобильных устройств под управлением Android. Операторы Toddler использовали вредонос для осуществления атак на клиентов 60 европейских банков в Испании, Германии, Швейцарии и Нидерландах.
По данным PTI, в настоящее время в Испании трояном Toddler заражено не менее 7632 мобильных устройств. В результате взлома C&C-сервера банковского трояна исследователи обнаружили более 1 тыс. украденных учетных данных online-банкинга. В настоящее время троян не был обнаружен в магазине приложений Google Play Store, однако злоумышленники взломали ряд легитимных web-сайтов с целью распространения вредоносного ПО.
Toddler является обычным троянским программным обеспечением во многих отношениях и содержит функции для кражи данных (включая банковские реквизиты), запуска кейлоггеров, создания снимков экрана, перехвата кодов двухфакторной аутентификации (2FA), перехвата SMS, и подключения к C&C-серверу для передачи информации и получения команд.
Вредоносное ПО способно отображать поддельные экраны авторизации и обманом заставить пользователя ввести банковские реквизиты. Для осуществления данных задач вредонос сперва анализирует, какие легитимные приложения открываются на мобильном устройстве. Toddler также позволяет операторам похищать учетные данные для доступа к криптовалютным кошелькам.
Список команд C&C-сервера включает активацию экрана зараженного устройства, запрос разрешений, изменение уровня громкости, попытку получить коды из Google Authenticator и удаление приложений.
Как отметили эксперты, Toddler содержит несколько механизмов персистентности, наиболее заметным из которых является предотвращение перезагрузки зараженного устройства или использование телефона в безопасном режиме.